Omisión de autenticación en D-Link D-View 8

Fecha de publicación 20/09/2023

Importancia

5 - Crítica

Recursos Afectados

D-View 8, versión 2.0.1.28.

Descripción

Un investigador de Tenable ha descubierto una vulnerabilidad de severidad crítica en el producto D-View de D-Link, cuya explotación podría permitir la omisión de autenticación en dicho producto.

Solución

Actualizar a la versión 2.0.2.89.

Detalle

D-View 8 admite el inicio de sesión con una clave de API, pero dicha clave suministrada en el token JWT (accessToken) no se comprueba, si no hay una clave de API configurada para el usuario de inicio de sesión. Con una clave secreta JWT conocida, un atacante remoto, no autenticado, podría crear un token JWT válido y utilizarlo para acceder a API protegidas. Se ha asignado el identificador CVE-2023-5074 para esta vulnerabilidad.

Listado de referencias

Authentication Bypass in D-Link D-View 8

Etiquetas

Actualización
Redes
Vulnerabilidad

Omisión de autenticación en ​D-Link D-View 8

Omisión de autenticación en D-Link D-View 8